Il CERT-AGID avvisa di un incremento in Italia del numero di campagne phishing “adattivo”, ossia quelle che adattano il contenuto delle loro pagine in base al dominio dell’organizzazione vittima.
I loghi e i marchi sfruttati da questo tipo di campagne malevole di solito vengono predeterminati dagli autori prima dell’avvio della campagna stessa. Ciò che sta emergendo come una novità è che gli autori non scrivono campagne diverse in base all’organizzazione da colpire ma utilizzano un contenuto dinamico che si “adatta” alla vittima in base al suo dominio.
Gli esperti del CERT-AGID spiegano:
«La pagina di phishing, una volta compilati username e password, esegue una chiamata HTTP con metodo POST verso la URL: https[:]//rtl5.tk/general-eco.php.
Al momento dell’invio, il server ritorna volutamente un messaggio di errore per indurre la vittima a reinserire la password. Questa tecnica serve ad ingannare anche le vittime più sospettose che al primo tentativo inseriscono una password falsa (come prova).
Dopo il secondo tentativo di inserimento, le vittime vengono reindirizzate verso un indirizzo composto dal dominio presente nell’e-mail della vittima a cui viene anteposta la stringa “www.”.
La preparazione della pagina e l’invocazione della chiamata all’URL C2 viene effettuata mediante uno script Javascript offuscato. L’indirizzo e-mail della vittima è infatti nella componente hash dell’URL (la parte dopo il cancelletto) e quindi non è inviata al server (in questo caso il phishing è servito da una pagina statica ma in ogni caso il server rimane all’oscuro dell’indirizzo e-mail vittima, fino all’invio delle credenziali).
Per quanto riguarda la generazione dinamica della pagina di phishing, il logo viene generato dinamicamente (contattando la risorsa https://logo.clearbit.com/) in base all’indirizzo e-mail presente nella componente hash dell’URL.
Il nome dell’organizzazione è dedotto empiricamente come la stringa tra la chiocciola (@) ed il primo punto successivo a questa (es: in malware@cert-agid.gov.it, il nome ricavato è cert-agid).
Lo script, prima di utilizzare username e password, verifica la loro plausibilità con semplici controlli sulla lunghezza e formato».
Il CERT-AGID, nonostante questa tipologia di phishing non sia proprio una novità, evidenzia due aspetti:
- l’efficacia della campagna. Considerando che viene mostrato il logo della organizzazione target, la pagina appare più specifica per la vittima e quindi aumenta la possibilità che questa sia tratta in inganno.
- l’offuscamento del codice javascript. La specifica forma di offuscamento usata in questa campagna non è nuova ma, fino a poco tempo fa, non era usata in pagine di phishing. Nella maggior parte dei casi, offuscare il codice javascript di una pagina di phishing non porta alcun vantaggio (o svantaggio, dal nostro lato) poiché è facile ispezionare il comportamento del phishing attraverso gli strumenti del browser anche senza osservare il codice (es: le richieste HTTP effettuate). Tuttavia, viene da chiedersi perché questo tipo di offuscamento si stia diffondendo così tanto.
https://cert-agid.gov.it/news/in-crescita-il-fenomeno-delle-campagne-di-phishing-adattivo/
